关闭

绑定手机号

应国家法规对于账号实名的要求,请您在进行下一步操作前,需要先完成手机绑定 (若绑定失败,请重新登录绑定)。了解更多

不绑定绑定手机号

360官网 | 会员商城 | 360手机官网 | 社区客户端

推荐论坛版块手机卫士十周年活动众测会员商城积分商城
本帖最后由 简简单单chao 于 2019-10-15 10:27 编辑
随着近些年来电竞游戏的持续风靡,越来越多的用户习惯把茶余饭后的时间交给这些“氪肝杀手”。很多玩家由于尝鲜心切,常常会在不同游戏下载渠道中进行下载安装,但却并不会注意到游戏下载过程中的安全隐患。如若经历过一次中毒体验,相信分分钟会让你往后的游戏生涯,闻“毒”色变。

360社区

360社区




以资深玩家自称的小王今年15岁,由于酷爱电脑游戏,每个周末会在繁忙的游戏时间里挤出极少的时间用来学习,所以小王的游戏时间常常遭到父母的强加看管。但由于与父母斗智斗勇多年,其早已深谙如何在偷偷游戏后迅速关机,快速帮电脑屏幕降温等秘诀。近日,游虎网(hxxp://dj.dianjinghu.com)上架的一款之前盛传已久的游戏《怪物猎人:世界》点燃了他的体验欲望,然而在点开安装程序以后,才发现自己的浏览器主页及默认搜索页、浏览器收藏夹等信息均被恶意篡改。




那么问题来了,小王这次的玩游戏行为会被父母发现么?显然,答案是肯定的——毕竟如果连浏览器主页被修改都发现不了,那只有可能是他的爸爸从来都没打开过浏览器。
多款游戏成劫持木马藏身之所
计算机浏览器沦为受害重灾区

其实,小王的遭遇并非个例,其源于最近所流行的一种劫持木马病毒。经360安全大脑监测及溯源发现,该木马传播者对《孤岛惊魂5》、《怪物猎人:世界》、《极品飞车20》、《鬼泣5》、《边缘世界》等知名游戏进行二次打包并加入木马程序,然后通过游虎游戏网(hxxp://dj.dianjinghu.com)进行传播。经深度分析后发现,该木马具备劫持浏览器主页及默认搜索页、获取浏览器历史记录、篡改浏览器收藏夹、添加浏览器扩展、修改浏览器Cookie等众多恶意行为,其主要执行流程如下:

360社区

360社区

首先,游戏安装完用户点击桌面游戏快捷方式开始游戏后后首先会请求hxxp://down.qm188[.]com/yhlock.7z得到了一个采用AES加密的压缩包文件yhlock.7z, 该压缩包经过AES解密后,解压释放出demo.dll并加载其导出函数plugin_lock(),相关代码如下图所示:

360社区

360社区

随后,经历调试解密yhlock.7z成PE文件后:

360社区

360社区

该文件内存中加载后会继续从down.qm188[.]com/check.7z下载一个同样使用AES加密的压缩包,解密解压缩后包含一个Lock.dll并加载执行(PDB信息:d:\浏览器相关\Lock\release\Lock.pdb),调试解密check.7z成PE文件:

360社区

360社区

狡猾躲避杀软监测展开魔道斗法
山东、福建、四川网友叫苦不迭

值得一提的是,该DLL文件封装了针对市面上超过15款主流浏览器的劫持修改函数:

360社区

360社区

而demo.dll则主要执行:

1、篡改浏览器收藏夹,静默替换收藏项链接;
2、篡改浏览器Cookie
3、安装浏览器扩展(具备劫持功能);
4、获取浏览器历史浏览记录
5、锁定浏览器主页,其中包含:
www.hao123.com/?tn=98625814_hao_pg
daohang.qq.com.cn0d.qq.1230578.com/%d.html
123.sogou.com.cnsg.123.1234034.com/%d.html
www.2345.com.cn.2345.hao3603.com/%d.html


360社区

360社区

判断杀软,修改IE浏览器主页的相关代码


360社区

360社区

篡改浏览器的cookie会修改host_key为.hao123.com的cookie部分代码

另外锁定的导航链接并不是确定不变的,而是通过生成随机数来拼接出随机的导航链接地址,并通过随机数控制一定机率来选择锁定为host和不同二级域名的链接,此举可能是为了躲避对抗某些杀软和浏览器对被篡改为同一链接的监控,相关代码如下图所示:

360社区

360社区

而遭受该木马影响的主要用户区域分布,似乎和一般其它木马分布不太一致,山东、福建、四川的网友成为主要受害人群。

360社区

360社区

由此次劫持木马蔓延案例不难看出,伴随网络空间形势日益严峻,计算机病毒传播形式也愈发多样化,时刻威胁到个人、企业乃至国家安全。因此,我们特别提醒用户做好以下防御措施:


1、尽快前往weishi.360.cn,下载安装360安全卫士,有效拦截各类病毒木马病毒攻击,保护电脑隐私及财产安全;
2、在下载游戏时,尽量使用正规下载渠道;
3、对于杀毒软件报毒的程序,不要轻易添加信任或退出杀软运行。

360社区

360社区




IOCs


SHA256:
58585cce567dd95e1308c6b1d6af902dcbf99d9b9826151588906fccc69f2a1d
abf1790d6519fd9637c3ab82f22f545f05e35bfb66e37d6a1190356b83a74c0f
9dae81e29b91d7363369094b948c0f217b1a325d74b3ca4e04e348ee7506f9f9

URL
down.qm188[.]com/check.7z
down.qm188[.]com/yhlock.7z
www.2345[.]com/?32772-0009
www.hao123[.]com/?tn=98625814_hao_pg
daohang.qq.com.cn0d.qq.1230578[.]com/%d.html
123.sogou.com.cnsg.123.1234034[.]com/%d.html
www.2345.com.cn.2345.hao3603[.]com/%d.html
hao.360.cn.com.360.1230578[.]com/%d.html
hao.360.cn.com.360.hao3603[.]com/%d.html
bz.dashi88[.]com/?scj
yx.hao3603[.]com
bd.hao3603[.]com
tm.hao3603[.]com


CRX ID
mhcakmpdiokfhiladgifhfklgmnniohn轻度新标签页

商城活动|儿童用品专场,玩具满199元减100元

共 3 个关于【安全播报】下载游戏导致浏览器主页被强行篡改,玩家缘何“痛心疾首”?的回复 最后回复于 2019-10-20 14:10

评论

直达楼层

简简单单chao 产品答疑师 楼主 发表于 2019-10-15 10:31 | 显示全部楼层 | 私信
vixenxyy LV11.大校 发表于 2019-10-19 09:27 | 显示全部楼层 | 私信
触目惊心~
望不到尽头 VIP认证 LV11.大校 发表于 2019-10-20 14:10 | 显示全部楼层 | 私信
注意
来自ONEPLUS A5010(360社区3.5.4版)
您需要登录后才可以回帖 登录 | 注册

本版积分规则

简简单单chao 产品答疑师

粉丝:13 关注:0 积分:6991

精华:1 金币:2011 经验:3679

最后登录时间:2019-11-19

360会员商城青铜会员

私信 加好友

最新活动

抢购活动

排行榜

热度排行 查看排行
今日 本周 本月 全部
    今日 本周 本月 全部

      内容推荐 热门推荐最新主帖

        关注360粉丝团,回复:抽奖,每周抽一个锦鲤大奖,等啥呢?扫它!!!

        快速回复 返回顶部 返回列表